Deux failles de sécurité ont été révélées dans l’application Galaxy Store de Samsung pour Android qui pourraient être exploitées par un attaquant local pour installer furtivement des applications arbitraires ou diriger des victimes potentielles vers des pages de destination frauduleuses sur le Web.
Les problèmes, suivis comme CVE-2023-21433 et CVE-2023-21434ont été découvert par NCC Group et notifiée au chaebol sud-coréen en novembre et décembre 2022. Samsung classifié les bogues à risque modéré et les correctifs publiés dans la version 4.5.49.8 expédiés plus tôt ce mois-ci.
Samsung Galaxy Store, anciennement connu sous le nom de Samsung Apps et Galaxy Apps, est une boutique d’applications dédiée utilisée pour les appareils Android fabriqués par Samsung. Il a été lancé en septembre 2009.
La première des deux vulnérabilités est CVE-2023-21433, qui pourrait permettre à une application Android malveillante déjà installée sur un appareil Samsung d’installer n’importe quelle application disponible sur le Galaxy Store.
Samsung l’a décrit comme un cas de contrôle d’accès inapproprié qui, selon lui, a été corrigé avec les autorisations appropriées pour empêcher tout accès non autorisé.
Il convient de noter ici que la lacune n’affecte que les appareils Samsung qui exécutent Android 12 et avant, et n’affecte pas ceux qui sont sur la dernière version (Android 13).
La deuxième vulnérabilité, CVE-2023-21434, concerne une instance de validation d’entrée incorrecte se produisant lors de la limitation de la liste des domaines pouvant être lancés en tant que WebView depuis l’application, permettant ainsi à un pirate de contourner le filtre et d’accéder à un domaine sous son contrôle.
« Appuyer sur un lien hypertexte malveillant dans Google Chrome ou sur une application malveillante préinstallée sur un appareil Samsung peut contourner le filtre d’URL de Samsung et lancer une vue Web vers un domaine contrôlé par un attaquant », a déclaré Ken Gannon, chercheur au NCC Group.
La mise à jour intervient alors que Samsung a déployé des mises à jour de sécurité pour le mois de janvier 2023 pour remédier à plusieurs défautsdont certains pourraient être exploités pour modifier les paramètres du réseau de l’opérateur, contrôler la publicité BLE sans autorisation et réaliser l’exécution de code arbitraire.
